QakBot-Linked BC Malware Adds Enhanced Remote Access and Data Gathering Features
- 개요
- QakBot(aka QBot, Pinkslipbot)과 연관된 새로운 BackConnect(BC) 악성코드 발견
- 원격 접근(Remote Access) 및 데이터 수집 기능을 강화하여 지속적인 위협 유지
- IcedID 및 DarkVNC와 함께 활용되며 ZLoader 악성코드와 동일한 인프라에서 배포
- QakBot의 주요 기능이었던 BC 모듈이 독립적인 백도어 형태로 발전
- BC 악성코드 특징
- BC 모듈(BackConnect)의 주요 기능
- 시스템 정보를 수집하여 공격자가 후속 공격을 수행할 수 있도록 지원
- VNC 컴포넌트를 통해 원격 접속 가능
- 감염된 호스트를 프록시로 활용하여 익명화된 C2(Command-and-Control) 통신 수행
- ZLoader와의 연계성
- ZLoader가 최근 DNS 터널링을 통한 C2 통신 기능을 추가
- BC 악성코드가 ZLoader의 인프라를 공유하여 악성코드 배포 및 제어
- QakBot 인프라와의 연관성
- 2023년 "Duck Hunt" 작전에서 QakBot 인프라가 법 집행기관에 의해 차단
- 이후에도 간헐적인 캠페인을 통해 QakBot이 지속적으로 유포
- 이전의 QakBot 샘플과 동일한 코드 및 기능 발견
- BC 모듈(BackConnect)의 주요 기능
- 공격 기법 및 활용 사례
- Sophos 연구 결과
- STAC5777 위협 그룹이 BC 악성코드를 활용
- Microsoft Teams의 화면 공유 및 Quick Assist를 악용하여 피해자의 시스템에 접근
- Python 기반 백도어 및 Black Basta 랜섬웨어 배포
- Black Basta 랜섬웨어 연계
- 기존 QakBot이 Black Basta 랜섬웨어를 배포하는 주요 도구였음
- 최근 Black Basta가 ZLoader를 활용하여 감염 전략 확대
- QakBot과 Black Basta 개발팀 간의 협업 가능성 증가
- Sophos 연구 결과
- 보안 권고
- BC 악성코드 탐지 및 차단
- 이상 네트워크 트래픽 감지 및 분석을 통한 C2 통신 탐지
- VNC, Quick Assist, Teams 화면 공유 등의 원격 접속 로그 모니터링
- 이메일 및 소셜 엔지니어링 공격 방어
- 이메일 폭탄 공격(email bombing) 및 피싱(vishing) 공격 주의
- Teams 외부 도메인과의 채팅 및 회의 제한
- 기업 네트워크 보안 강화
- 다중 인증(MFA) 활성화 및 비인가 원격 접속 차단
- 의심스러운 Microsoft 365 테넌트 접근 감시 및 차단
- 악성코드 배포 차단
- DNS 터널링 감지 및 차단
- Python 스크립트 실행 제한 및 EDR(Endpoint Detection and Response) 도입
- BC 악성코드 탐지 및 차단
- 결론
- QakBot 기반의 BC 악성코드가 지속적으로 발전하며 사이버 범죄 조직 간의 협력 증대
- Black Basta, ZLoader 등과의 연계를 통해 고도화된 공격 시나리오 활용
- 기업 및 기관은 원격 접속 보호, 악성코드 탐지 강화, 이메일 보안 정책 강화를 통해 선제적 대응 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| GhostGPT – 사이버 범죄를 위한 탈옥된 AI 챗봇의 등장 (0) | 2025.01.31 |
|---|---|
| 크롬 확장 프로그램을 노린 공급망 공격, 악성 코드 삽입 확인 (0) | 2025.01.31 |
| macOS 사용자 대상 Homebrew 위장 악성코드 유포 캠페인 발견 (0) | 2025.01.31 |
| Nnice 랜섬웨어: 고급 암호화 기법을 이용한 Windows 시스템 공격 (0) | 2025.01.31 |
| Morpheus 및 HellCat 랜섬웨어 코드 공유 분석 (0) | 2025.01.31 |